Spionagesoftware: Kaspersky enttarnt Regin als NSA-Programm

Code des Trojaners Regin findet sich auch in den Dokumenten von Edward Snowden. Damit dürfte der Urheber der Cyberwaffe eindeutig feststehen.

Artikel veröffentlicht am ,
Das Qwerty-Keylogger-Modul
Das Qwerty-Keylogger-Modul (Bild: Kaspersky)

Die Sicherheitsfirma Kaspersky hat ein starkes Indiz für die Urheberschaft des Trojaners Regin gefunden. Wie das Unternehmen am Dienstag berichtete, fanden die Experten Teile des bereits im November veröffentlichten Regin-Codes in NSA-Dokumenten wieder, die der Spiegel Mitte Januar veröffentlicht hatte. Demnach verwendet das NSA-Programm Qwerty teilweise identischen Code wie Regin. Nach Analyse der Dateien durch Golem.de läuft das Modul auf den Windows-Versionen NT, 2000, XP und 2003.

  • Kaspersky fand Code des NSA-Tools Qwerty auch in der Spähsoftware Regin. (Fotos: Kaspersky)
  • Das Modul 20123.sys fand sich einem NSA-Dokument, das der Spiegel im Januar veröffentlicht hatte.
  • Laut Kaspersky ist es unklar, warum die beiden Module eine unterschiedliche ID haben.
  • Mit Hilfe eines Binary-Diff-Tools suchte Kaspersky nach identischem Code zwischen Qwerty...
  • ... und Regin.
Kaspersky fand Code des NSA-Tools Qwerty auch in der Spähsoftware Regin. (Fotos: Kaspersky)

Der Spiegel hatte ein PDF-Dokument veröffentlicht, das mehrere Module von Qwerty als Zip-Datei enthielt. Ein Modul davon, 20123.sys, identifizierte Kaspersky als Treiber für einen Keylogger. Dessen Code könne auch in einem Regin-Modul gefunden werden, dem 50251-Plugin. Die meisten Qwerty-Komponenten riefen Plugins von demselben Paket auf, jedoch finde sich in dem Code auch der Aufruf eines Regin-Plugins. Dies bedeute, dass Qwerty nur als Teil von Regin funktioniere, da es ein Plugin benötige, um Funktionen des Kernels zu benutzen.

Für Kaspersky steht fest, dass die Entwickler von Qwerty und Regin identisch sind oder zusammenarbeiten. Zudem habe man festgestellt, dass die Regin-Plugins in einem verschlüsselten und komprimierten virtuellen Dateisystem (VFS) gespeichert würden und daher auf dem infizierten Rechner nicht direkt in einem nativen Format vorhanden seien. Die Malware lade die Plugins bei deren Start, so dass sie nur beim Scannen des Systemspeichers oder durch das Entschlüsseln der VFS entdeckt werden könnten.

Hochkomplexer Trojaner

Erst im November 2014 hatte das Sicherheitsunternehmen Symantec von der Existenz des Trojaners berichtet. Er enthalte Dutzende von einzelnen Modulen, die es den Angreifern ermöglichten, die Malware gezielt auf einzelne Ziele zuzuschneiden. Aufgrund der gewählten Architektur habe die Malware viele Jahre unbeobachtet von Virenscannern agieren können. Selbst wenn das Vorhandensein von Regin bemerkt werde, sei es äußerst schwierig zu erkennen, was genau die Schadsoftware mache. Symantec war dazu erst in der Lage, nachdem einige Beispieldateien entschlüsselt worden waren. Dabei habe der Trojaner verschiedene Tarnfunktionen bemüht. Er kann nach Angaben von Symantec Screenshots machen, die Kontrolle über die Computermaus eines infizierten Systems übernehmen, Passwörter stehlen, den Traffic überwachen und gelöschte Dateien wiederherstellen.

Einem Bericht der Website The Intercept zufolge wurde die Cyberwaffe von der NSA und dem GCHQ bei einem Angriff auf den belgischen Provider Belgacom eingesetzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass Regin für eine große Cyberattacke auf die EU-Kommission im Jahr 2011 verwendet wurde. "Wir haben das nachvollzogen, es gibt eindeutige Übereinstimmungen", hatte BSI-Vizepräsident Andreas Könen Ende 2014 dem Spiegel gesagt. Die Sicherheitsexperten hätten die auf den EU-Rechnern gefundene Malware mit einer ausführlichen Analyse von Regin verglichen, die Symantec veröffentlicht hatte. Die Bundesregierung hatte zudem bestätigt, dass der Trojaner auf dem privaten Rechner einer Mitarbeiterin des Bundeskanzleramts gefunden worden war. Das BSI soll nach dem Vorfall alle 200 Hochsicherheitslaptops des Kanzleramts überprüft haben. Es sei kein infizierter Rechner gefunden worden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


mnementh 28. Jan 2015

Das Kompromat bleibt unter Verschluss?

AllDayPiano 28. Jan 2015

Obi ist doch ein enger Freund von der Äinschi. Der würde doch sowas nie im Leben machen...

Day 28. Jan 2015

Was du suchst heißt Tallinn Manual und das ist eine Studie der Nato. http://en.wikipedia...

Der Held vom... 27. Jan 2015

Und uns ist unerklärlich, warum es für ihn unerklärlich ist. Aber man könnte es ja zu...



Aktuell auf der Startseite von Golem.de
Intel Core i9-14900KS
Intel ist wahnsinnig geworden - zum Glück!

Um den Core i9-14900KS zur schnellsten Allround-CPU zu machen, hat Intel den Weg der Vernunft scheinbar vollständig verlassen. Doch dahinter stecken gute Neuigkeiten für Intel-Kunden.
Ein IMHO von Martin Böckmann

Intel Core i9-14900KS: Intel ist wahnsinnig geworden - zum Glück!
Artikel
  1. Streaming: Twitch verbietet Popos als Leinwand
    Streaming
    Twitch verbietet Popos als Leinwand

    Auf Hinterteile projizierte Streams sind auf Twitch künftig verboten: Der zu Amazon gehörende Dienst geht gegen einen absurden Trend vor.

  2. FTX-Gründer: Sam Bankman-Fried zu 25 Jahren Haft verurteilt
    FTX-Gründer
    Sam Bankman-Fried zu 25 Jahren Haft verurteilt

    Der Richter betonte die Dreistigkeit der Handlungen von Bankman-Fried. Doch die Haftstrafe für den früheren Chef der Kryptobörse FTX liegt weit unter der Forderung der Anklage.

  3. Truth Social: Warum Trumps kleines Netzwerk Milliarden wert wurde
    Truth Social
    Warum Trumps kleines Netzwerk Milliarden wert wurde

    Donald Trumps verlustbringender Twitter-X-Klon Truth Social wird nach seinem Börsengang mit 9 Milliarden US-Dollar bewertet. Es ist eine Spekulationsblase - und eine Investition in eine potenzielle Trump-Präsidentschaft.
    Ein Bericht von Achim Sawall

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Palit 4070 Super 579,95€ • Xbox-Controller ab 39,99€ • AVM Fritzbox + Repeater -30% • DVDs & Blu-rays -31% • EA -75% • Ubisoft -50% • MindStar: AMD Ryzen 9 7900 339€, MSI RTX 4080 Super Ventus 3X OC 1.099€ • Gratis-Zugaben PS5 Slim & Nintendo Switch OLED beim TV-Kauf [Werbung]
    •  /